Mandiant Attack Surface Management mit VPC Service Controls verwenden

In diesem Dokument wird beschrieben, wie Sie Regeln für eingehenden Traffic hinzufügen, um Mandiant Attack Surface Management innerhalb von VPC Service Controls-Perimetern zuzulassen. Wenn Ihre Organisation VPC Service Controls verwendet, können Sie mit dieser Aufgabe Dienste in Projekten einschränken, die von Mandiant Attack Surface Management überwacht werden sollen. Weitere Informationen zu Mandiant Attack Surface Management finden Sie unter Mandiant Attack Surface Management – Übersicht.

Erforderliche Rollen

So erhalten Sie die Berechtigungen, die Sie benötigen, um Mandiant Attack Surface Management innerhalb von VPC Service Controls-Perimetern zu verwenden. , bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Access Context Manager Editor (roles/accesscontextmanager.policyEditor) für Ihre Organisation zu gewähren. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Regeln für eingehenden Traffic erstellen

Wenn Sie Mandiant Attack Surface Management in Security Command Center innerhalb von VPC Service Controls-Perimetern zulassen möchten, fügen Sie die erforderlichen Regeln für eingehenden Traffic in diesen Perimetern hinzu. Führen Sie diese Schritte für jeden Perimeter aus, den Mandiant Attack Surface Management überwachen soll.

Weitere Informationen finden Sie unter Richtlinien für ein- und ausgehenden Traffic für einen Dienstperimeter aktualisieren.

Konsole

  1. Wechseln Sie in der Google Cloud Console zur Seite VPC Service Controls.

    Zu „VPC Service Controls“

  2. Wählen Sie Ihre Organisation oder das Projekt aus.

  3. Wählen Sie in der Drop-down-Liste die Zugriffsrichtlinie aus, die den Dienstperimeter enthält, auf den Sie Zugriff gewähren möchten.

    Die mit der Zugriffsrichtlinie verknüpften Dienstperimeter werden in der Liste angezeigt.

  4. Klicken Sie auf den Namen des Dienstperimeters, den Sie aktualisieren möchten.

    Um den Dienstperimeter zu finden, den Sie ändern müssen, können Sie Ihre Logs auf Einträge prüfen, die RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER-Verstöße enthalten. Prüfen Sie in diesen Einträgen das Feld servicePerimeterName: 

    accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
  5. Klicken Sie auf  Bearbeiten.
  6. Klicken Sie auf Richtlinie für eingehenden Traffic.
  7. Klicken Sie auf Regel für eingehenden Traffic hinzufügen.

  8. Legen Sie im Bereich Von die folgenden Details fest:

    1. Wählen Sie unter Identitäten > Identität die Option Identitäten und Gruppen auswählen aus.
    2. Klicken Sie auf Identitäten hinzufügen.

    3. Geben Sie die E-Mail-Adresse des Dienst-Agents für Attack Surface Management ein. Die Adresse des Dienst-Agents hat das folgende Format: 

      service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com

      Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

    4. Wählen Sie den Service-Agent aus oder drücken Sie die EINGABETASTE und klicken Sie dann auf Identitäten hinzufügen.
    5. Wählen Sie für Quellen die Option Alle Quellen aus.

  9. Legen Sie im Bereich Bis die folgenden Details fest:

    1. Wählen Sie unter Ressourcen > Projekte die Option Alle Projekte aus.
    2. Wählen Sie unter Vorgänge oder IAM-Rollen die Option Vorgänge auswählen aus.

    3. Klicken Sie auf Vorgänge hinzufügen und fügen Sie dann die folgenden Vorgänge hinzu:

      • Fügen Sie den Dienst cloudasset.googleapis.com hinzu.
        1. Klicken Sie auf Alle Methoden.
        2. Klicken Sie auf Alle Methoden hinzufügen.
      • Fügen Sie den Dienst cloudresourcemanager.googleapis.com hinzu.
        1. Klicken Sie auf Alle Methoden.
        2. Klicken Sie auf Alle Methoden hinzufügen.
      • Fügen Sie den Dienst dns.googleapis.com hinzu.
        1. Klicken Sie auf Alle Methoden.
        2. Klicken Sie auf Alle Methoden hinzufügen.
  10. Klicken Sie auf Speichern.

gcloud

  1. Wenn noch kein Kontingentprojekt festgelegt ist, legen Sie es fest. Wählen Sie ein Projekt aus, für das die Access Context Manager API aktiviert ist. 

    gcloud config set billing/quota_project QUOTA_PROJECT_ID

    Ersetzen Sie QUOTA_PROJECT_ID durch die ID des Projekts, das Sie für die Abrechnung und das Kontingent verwenden möchten.

  2. Erstellen Sie eine Datei mit dem Namen ingress-rule.yaml und mit folgendem Inhalt:

    - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-asm-hpsa.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: cloudresourcemanager.googleapis.com
      methodSelectors:
      - method: '*'
    - serviceName: dns.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

    Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

  3. Fügen Sie dem Perimeter die Regel für eingehenden Traffic hinzu:

    gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

    Ersetzen Sie Folgendes:

    • PERIMETER_NAME: der Name des Perimeters. Zum Beispiel, accessPolicies/1234567890/servicePerimeters/example_perimeter.

      Um den Dienstperimeter zu finden, den Sie ändern müssen, können Sie Ihre Logs auf Einträge prüfen, die RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER-Verstöße enthalten. Prüfen Sie in diesen Einträgen das Feld servicePerimeterName: 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

Weitere Informationen finden Sie unter Regeln für eingehenden und ausgehenden Traffic.

Nächste Schritte